NIS2-direktivet är EU:s uppdaterade regelverk för cybersäkerhet som syftar till att stärka motståndskraften i samhällsviktiga och viktiga tjänster. Det berör allt från energi, transport och hälso- och sjukvård till digital infrastruktur och vissa leverantörer i värdekedjan. I den här artikeln får du en tydlig översikt över vad direktivet innebär, hur det påverkar olika organisationer och vilka praktiska steg du kan ta för att bli redo i tid. Du får också exempel från verkligheten som visar vad som faktiskt krävs i vardagen.
Kärnan i direktivet är att ledningen ska ta faktiskt ansvar för informationssäkerheten. Det betyder att styrelse och högsta ledning behöver godkänna säkerhetspolicys, följa upp nyckeltal och kunna visa beslut som minskar risk. I praktiken ser jag att organisationer som lyckas börjar med en enkel mognadsbedömning: var står vi idag, vilka gap finns och vilka tre åtgärder ger störst effekt på kort sikt? Detta skapar fokus och momentum.
Riskhantering blir mer systematisk: kartlägg kritiska tillgångar, genomför hot- och sårbarhetsanalyser, och koppla risker till tydliga kontroller som multifaktorautentisering, segmentering av nätverk och uppdaterade backup-rutiner. En sjukvårdsaktör jag arbetat med införde till exempel dagliga integritetskontroller för patientjournaler och kvartalsvisa övningar för säkerhetsåterställning. Små steg, men de minskade både risken för dataläckage och återställningstiden efter incident.
Incidentberedskap är en annan hörnsten. Direktivet kräver rapportering i flera steg, ofta inom 24 timmar för en tidig varning. Förbered därför en tydlig spelbok: vem larmar, hur klassar ni allvarlighetsgrad, vilka kontaktvägar finns, och hur dokumenteras händelsen? En kort övning varje kvartal, där man testar larmkedja och kommunikationsmallar, gör stor skillnad och avslöjar snabbt flaskhalsar.
Många glömmer att externa parter ofta är den svagaste länken. Etablera därför krav på säkerhet i avtal, begär bevis på åtgärder och följ upp med enkla leverantörsrevisioner. Ett konkret exempel är att kräva loggdelning vid incident och att leverantören deltar i era årliga återställningstester. Det är både rimligt och effektivt, särskilt när system och data flödar mellan flera aktörer.
För att operationalisera nis2 direktivet behöver du översätta kraven till dagliga beteenden. Börja litet: aktivera rollbaserad åtkomst, införa patchfönster varje vecka och skapa en checklista för systemägare med tre kontrollpunkter per månad. Lägg på månatlig rapportering till ledningen med två mätetal: andel system med senaste säkerhetsuppdatering och tid till åtgärd för kritiska sårbarheter. När de siffrorna blir synliga förbättras disciplinen på några månader.
En vanlig följdfråga är hur mycket dokumentation som krävs. Håll den lätt men spårbar: ett register över kritiska system och ägare, en översikt av risker och beslutade åtgärder, samt loggar över incidentövningar. För större organisationer är ett centralt verktyg för ärendehantering värdefullt, men mindre verksamheter kommer långt med standardiserade mallar och en enkel kalender för uppföljning.
Sammanfattningsvis handlar NIS2 om att göra det viktiga görbart. Fokusera på styrning som märks, riskhantering som går att följa upp och en incidentprocess som faktiskt används. Börja med en mognadsbedömning, utse tydliga ansvariga och etablera korta, återkommande rutiner. Vill du fördjupa dig eller få stöd i att tolka kraven för din bransch, ta nästa steg och diskutera hur din organisation praktiskt kan implementera direktivet redan idag.